Log4j漏洞熱修補(bǔ)有漏洞，AWS又再次修補(bǔ)

去年公布的Apache Log4j漏洞促使眾多云計(jì)算服務(wù)商及軟件廠商加緊修補(bǔ)，但安全研究人員發(fā)現(xiàn)AWS第一波的熱修補(bǔ)不全，導(dǎo)致添加4項(xiàng)漏洞。不過在通報(bào)后，AWS于本周再次修補(bǔ)完成。

Log4j漏洞（即Log4Shell）公布后，AWS安裝了熱修補(bǔ)程序（hot patch）一方面監(jiān)控Java應(yīng)用程序及Java容器安全，同時(shí)啟動修補(bǔ)。這些修補(bǔ)方案涵蓋獨(dú)立服務(wù)器、Kubernetes集群、ECS（Elastic Container Service）集群及無服務(wù)器運(yùn)算引擎Fargate等。這個(gè)方案不只用于AWS環(huán)境，也可以安裝在其他云計(jì)算和本地部署環(huán)境。

但Palo Alto Networks安全研究人員發(fā)現(xiàn)，AWS安裝的這個(gè)hotpatch及相關(guān)AWS自有容器Linux發(fā)行版Bottlerocket的OCI hooks（名為Hotdog）有數(shù)項(xiàng)漏洞，其中CVE-2021-3100、CVE-2021-3101較早出現(xiàn)。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權(quán)限升級漏洞，讓沒有特權(quán)許可的行程擴(kuò)展其權(quán)限，并以根許可執(zhí)行程序代碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一個(gè)環(huán)境，包括服務(wù)器或Kubernete集群上所有容器的惡意程序可接管底層主機(jī)。這些漏洞允許容器逃逸，不論容器是否執(zhí)行Java應(yīng)用程序，或是底層是否為AWS Bottlerocket。另外，以用戶命名空間或以非根權(quán)限用戶執(zhí)行的容器也會受到影響。

但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修補(bǔ)成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

美國NIST漏洞數(shù)據(jù)庫沒有給予這四項(xiàng)漏洞風(fēng)險(xiǎn)值，不過Palo Alto將4項(xiàng)漏洞風(fēng)險(xiǎn)分別評為8.8。

AWS接獲通報(bào)后，于本周稍早針對Amazon Linux、Amazon Linux 2發(fā)布了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建議容器內(nèi)執(zhí)行Java應(yīng)用程序，以及使用具有hotpatch的Bottlerocket用戶應(yīng)立即升級到最新版。

AWS表示，新版Hotpatch需要升級到最新Linux核心，用戶不應(yīng)略過任何核心更新。同樣的，新版Hotdog也需Bottlerocket升級到最新版。